Windows: Stop Code 0x50 srv.sys causato dall'exploit EternalBlue

Microsoft ha rilasciato un bollettino sulla sicurezza relativo a SMBv1.0. La vulnerabilità più grave può consentire l'esecuzione di codice in modalità remota se un utente malintenzionato invia messaggi appositamente predisposti a un server Microsoft Server Message Block 1.0 (SMBv1).

È possibile identificare il problema analizzando lo stack nel dump della memoria e trovando queste righe specifiche:
 

ffffd001`078b0700 fffff801`71252360 nt!KiPageFault+0x12f
ffffd001`078b0890 fffff801`712522a5 srv!SrvOs2FeaToNt+0x48
ffffd001`078b08c0 fffff801`7127369b srv!SrvOs2FeaListToNt+0x125
ffffd001`078b0910 fffff801`7127c8ba srv!SrvSmbOpen2+0xc3
ffffd001`078b09b0 fffff801`7127fb2e srv!ExecuteTransaction+0x2ca
ffffd001`078b09f0 fffff801`7120d84f srv!SrvSmbTransactionSecondary+0x40b
ffffd001`078b0a90 fffff801`7120da20 srv!SrvProcessSmb+0x237
ffffd001`078b0b10 fffff801`7124cac8 srv!SrvRestartReceive+0x114
ffffd001`078b0b50 fffff800`13591306 srv!WorkerThread+0x5248
ffffd001`078b0bd0 fffff800`1317f280 nt!IopThreadStart+0x26
ffffd001`078b0c00 fffff800`131d89c6 nt!PspSystemThreadStartup+0x58
ffffd001`078b0c60 00000000`00000000 nt!KiStartSystemThread+0x16 

Sistemi interessati:
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012 Windows Server 2012
R2
Windows Server 2016
Windows 7
Windows 8
Windows 8.1
Windows 10
 

.

Microsoft ha pubblicato un post sul blog SMB1 spiegando che è obsoleto e non deve essere utilizzato sulle ultime versioni del sistema operativo.

Poiché questo problema è causato da un exploit, è necessario eseguire un programma antivirus sul sistema interessato.

Soluzioni alternative

Le seguenti soluzioni alternative possono essere utili nella tua situazione:

• Disabilitazione di SMBv1

  Per i clienti che eseguono Windows Vista e versioni successive

  Consultare l'articolo 2696547 della Knowledge Base di Microsoft.

  Metodo alternativo per i clienti che eseguono Windows 8.1 o Windows Server 2012 R2 e versioni successive

  Per i sistemi operativi client:

  1. Aprire Pannello di controllo, cliccare su Programmi, quindi cliccare su Attiva o disattiva funzionalità di Windows.
  2. Nella finestra Windows Features, deselezionare la casella di controllo SMB1.0/CIFS File Sharing Support, quindi cliccare su OK per chiudere la finestra.
  3. Riavviare il sistema.
      

  Per i sistemi operativi del server:

  1. Aprire Server Manager, quindi cliccare sul menu Manage e selezionare Remove Roles and Features.
  2. Nella finestra Features, deselezionare la casella di controllo SMB1.0/CIFS File Sharing Support, quindi cliccare su OK per chiudere la finestra.
  3. Riavviare il sistema.
      

  Impatto del workaround. Il protocollo SMBv1 è disabilitato nel sistema di destinazione.
  SMBv1.0 offre supporto per sistemi legacy (Windows XP, Windows Vista, Windows 2000, Windows 2003, Windows 2003 R2).

  Come annullare la soluzione alternativa. Ripercorrere la procedura alternativa e selezionare la casella di controllo SMB1.0/CIFS File Sharing Support per ripristinare la funzionalità SMB1.0/CIFS File Sharing Support a uno stato attivo.